Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 40 von 55

Thema: Schwere Sicherheitslücke in Contao gefunden

  1. #1
    Newsbot
    Registriert seit
    17.06.2009.
    Ort
    Newsbot - kein echter Nutzer!
    Beiträge
    805

    Beitrag Schwere Sicherheitslücke in Contao gefunden

    // Letztes Update der Infos aus diesem Beitrag: 13.02. - ca. 13:00 Uhr //

    Zu der potentiellen PHP-Object-Injection Sicherheitslücke, die wir mit den letzten Updates auf Contao 3.2.5 bzw. 2.11.14 prophylaktisch behoben haben, ist nun leider ein Exploit aufgetaucht.

    Ganzen Beitrag zu 'Schwere Sicherheitslücke in Contao gefunden' lesen

    Update (Donnerstag, 13.02.2014):
    Da die Updates auf 3.2.5/3.2.6 und 2.11.14/2.11.15 noch nicht ausreichten um die Sicherheitslücke vollständig zu beheben, wurden die Updates 3.2.7 und 2.11.16 veröffentlicht.
    Newsbeitrag zu Contao 3.2.7
    Newsbeitrag zu Contao 2.11.16

    Update (Mittwoch, 12.02.2014):
    Da die Updates auf 3.2.5 und 2.11.14 noch nicht ausreichten um die Sicherheitslücke vollständig zu beheben, wurden die Updates 3.2.6 und 2.11.15 veröffentlicht.
    Newsbeitrag zu Contao 3.2.6
    Newsbeitrag zu Contao 2.11.15

  2. #2
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    // Letztes Update der Infos aus diesem Beitrag: 13.02. - ca. 18:30 Uhr //

    Hier die wichtigsten Infos:

    Zitat aus den News vom 13.Februar 2014:
    Contao Version 2.11.16/3.2.7 ist verfügbar. Das Bugfix-Release behebt weitere Sicherheitslücken in Zusammenhang mit der PHP-Object-Injection-Schwachstelle, die Anfang Februar 2014 in Contao gefunden wurde.

    Ich kann Ihnen an dieser Stelle versichern, dass die häufigen Nachbesserungen nicht auf blinden Aktionismus zurückzuführen sind. Mehrere namhafte Contao-Entwickler saßen etliche Stunden zusammen, um einen optimalen Kompromiss aus Absicherung und Rückwärtskompatibilität zu finden. Leider ist das Angriffsszenario sehr komplex, so dass immer neue Wege gefunden werden konnten, um die Schwachstelle auszunutzen. Wir haben nun einen sehr restriktiven Ansatz zur Absicherung gewählt und hoffen, das Problem damit beseitigt zu haben.
    Zitat aus den News vom 12.Februar 2014:
    Der neue Patch sichert nicht nur den Core sondern auch potentiell betroffene Drittanbieter-Erweiterungen ab. Das Update wird dringend empfohlen!
    Das offizielle und neueste Sicherheitsupdate 3.2.7 (empfohlen):
    https://github.com/contao/core/releases/tag/3.2.7

    Das offizielle und neueste Sicherheitsupdate 2.11.16 für Contao-Installationen die auf dem 2er-Entwicklungsstrang von Contao sind und bleiben wollen:
    https://github.com/contao/core/releases/tag/2.11.16

    Bitte überprüft eure Installation nach dem Update mit dem aktuellsten Contao-Check (könnt ihr immer topaktuell unter diesem Link herunterladen):
    https://github.com/contao/check/tags

    Die C-C-A hat auch wieder (inoffizielle) Sicherheitsupdates für Zwischenversionen veröffentlicht. Ihr findet diese auf der C-C-A-Website gemeinsam mit einigen zusätzlichen Infos rund um das ursprüngliche Problem.:
    http://c-c-a.org/aktuelles/sicherheitshinweise

    Dazu noch ein für Entwickler interessantes Zitat von der C-C-A-Website:
    Während durch den 1. Bugfix die deserialize() weiterhin serialisierte Objekte erlaubte, wurde diese Unterstützung jetzt zugunsten der Sicherheit vollständig entfernt. Das bedeutet, dass serialisierte Objekte zukünftig nicht mehr mit der deserialize() Funktion deserialisiert werden können. Das gilt auch für einfache stdClass Objekte! In 99% der Fälle, sollte dies keine Einschränkung sein. Wer allerdings gezielt serialisierte Objekte durch die Gegend reicht, muss auf die PHP native Funktion unserialize() ausweichen.
    An dieser Stelle geht unser aller Dank an die vielen Entwickler die sich zusammen gesetzt und die letzten Tage/Nächte um die Ohren geschlagen haben, um das Problem für uns zu lösen und einen zuverlässigen Sicherheits-Patch zu veröffentlichen (Leo, Xtra, Tril, Andreas, Toflar und all die anderen aktiven Entwickler). Herzlichen Dank!

  3. #3
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    // Letztes Update der Infos aus diesem Beitrag: 13.02. - ca. 11:45 Uhr //

    Thread nochmal aufgeräumt, damit es zum Release von 2.11.16 und 3.2.7 von heute passt. Das mit den vielen Releases ist gerade etwas mühsam, aber ich denke, es zeigt auch einfach, dass die Jungs wirklich ihr Bestes geben um alle auffindbaren Probleme zu beheben. Da die Updates von 3.2.5 auf 3.2.6 und 3.2.7 nur winzig sind, ist das zum Glück pro Installation nur ein winziger Aufwand.

    Daher hier nochmal mein Dank an die Entwickler für ihre Mühe! Ihr hattet diese Woche sicher auch ganz andere Zeit- und Projektpläne, so dass wir sehr dankbar dafür sind, dass ihr euch nun stattdessen - zu unser aller Vorteil - so ausführlich um dieses Problem kümmert.

  4. #4
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    // Letztes Update der Infos aus diesem Beitrag: 13.02. - ca. 13:00 Uhr //

    Für diejenigen die z.B. schon auf 3.2.5/2.11.14 oder 3.2.6/2.11.15 aktualisiert hatten, eine Empfehlung:

    Wenn ihr manuell updatet (mit Live Update ist das sowieso nur ein Klick), könnt ihr euch die Github Compare Views ansehen. Dann seht ihr direkt, welche Dateien zwischen diesen Versionen und der aktuellsten angepasst wurde. So könnt ihr euch dann aus den neuesten Download-Paketen genau diese Dateien herauspicken und nur sie über die Installation drüber bügeln. Soweit ich es sehe, ist kein DB-Update nötig, so dass ihr danach dann auf dem aktuellsten Stand seid.

    Von 3.2.5 auf 3.2.7 - Github Compare View
    Von 3.2.6 auf 3.2.7 - Github Compare View
    Direkter Download-Link des 3.2.7 Contao-Gesamtpakets (aus dem ihr die entsprechenden Files fischen könnt)

    Von 2.11.14 auf 2.11.16 - Github Compare View
    Von 2.11.15 auf 2.11.16 - Github Compare View
    Direkter Download-Link des 2.11.16 Contao-Gesamtpakets (aus dem ihr die entsprechenden Files fischen könnt)

    Wichtig: Bitte macht sowas nur in diesem Fall und auf eigene Verantwortung. Es wäre fatal, sowas bei anderen Versionssprüngen zu machen, da dort oft genug ein DB-Update von Nöten ist bzw. sogar noch größere Update-Routinen durchlaufen (um z.B. die Umstellung des alten auf das neue Filesystems durchzuführen.

    Und nochmal: Bitte überprüft eure Installation nach dem Update mit dem aktuellsten Contao-Check (könnt ihr immer topaktuell unter diesem Link herunterladen):
    https://github.com/contao/check/tags

  5. #5
    Contao-Nutzer
    Registriert seit
    12.12.2011.
    Ort
    Berlin
    Beiträge
    6

    Standard Linktexte Contao 2.x

    Hallo Nina,

    Dir und allen Contaos herzlichen Dank für die tolle Arbeit. Ich wusste schon, warum mir Contao von allen CMS am sympathischsten war...

    Kurzer redaktioneller Hinweis zu den Linkbezeichnungen in Deinem Beitrag bzgl. der Compare Views für die 2.x:

    "Von 2.11.5 auf 2.11.16" müsste richtig heißen "Von 2.11.14 auf 2.11.16" und
    "Von 2.11.6 auf 2.11.16" müsste richtig heißen "Von 2.11.15 auf 2.11.16".

    Nur eine Kleinigkeit, hätte mir auch passieren können, insbesondere an Tagen wie diesen.

    Grüße aus Berlin, Sophia
    Geändert von soffie_o (13.02.2014 um 13:12 Uhr) Grund: Update: Hat sich erledigt

  6. #6
    Contao-Nutzer Avatar von ad1601com
    Registriert seit
    02.04.2013.
    Ort
    Erlangen
    Beiträge
    9

    Standard

    Hallo Nina,

    finde es etwas schade, dass Du alle Beiträge gelöscht hast.
    Meinst Du nicht es wäre sinnvoll den Thread aufzuteilen in einen Ankündigungs-Thread von Dir und einen allgemeinen Diskussions-Thread für die User?

    Ich fürchte so erstickst du eine konstruktive Absprache zu den aktuellen Problemen sowie dem Umgang hiermit auf Anwender/Adminseite.
    Genau hierfür ist doch aber dieses Forum da?

    Grüße
    Andreas

  7. #7
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Sofern die Diskussionen zur aktuellen Lage passen, lasse ich sie hier. Da die Lage sich in den letzten Tagen aber ständig geändert hat, machte es keinen Sinn diese Beiträge da zu lassen, da sie u.a. aus mittlerweile veralteten Überlegungen, Spekulationen, Versuchen irgendwelche Sonderlösungen zu basteln (die aus aktueller Sicht gefährlich wären, weil sie die Probleme nicht lösen und in falscher Sicherheit wiegen würden) etc. bestanden. Somit wären sie für alle Nutzer eher irritierend, weil sie eben nicht dem aktuellen Stand entsprechen und man auch von niemandem erwarten kann, dass er sich durch seitenlange Threads kämpft und verwirren lässt, bis er zu den eigentlich relevanten Infos und Diskussionen gelangt.

    Davon ausgehend, dass das nun die finalen Versionen für das Sicherheitsproblem sind, belasse ich weitere Beiträge die auf diesen Versionen und dem aktuellen Stand basieren sehr gerne hier im Thread. Wie gesagt, es ist eine sehr heikle Situation für alle Contao-Nutzer, so dass diesmal ganz klar präzise und aktuelle Infos, sowie leichte Auffindbarkeit derselben das wichtigste Gebot der Stunde sind. Daher die Aufräumaktionen. Sofern wir nun bei diesen Versionen bleiben, sollte keine weitere Aufräumaktion notwendig sein.

    Bitte beachte auch, dass ich alle wichtigen Infos von Mal zu Mal hier in den Thread übernommen und ergänzt habe (wie z.B. den Hinweis auf die Change Views, die direkten Download-Links und den Link zum jeweils aktuellsten Contao-Check sowie den dahinter steckenden News). Es ist also absolut nichts relevantes verloren gegangen.

    Danke fürs Verständnis

  8. #8
    Contao-Fan Avatar von dackelchen
    Registriert seit
    24.05.2011.
    Ort
    Kiel
    Beiträge
    672
    User beschenken
    Wunschliste

    Standard

    Von mir aus darfst Du gerne weiter aufräumen, vor allem am Anfang war ja auch einiges halbgares Zeugs dabei, dass eher geschadet als genutz hätte. Und im Moment finde, zumindest ich, es sinniger, wenn sich die unsere "schnelle Eingreiftruppe" um den Code kümmert und nicht um die Richtigstellungen irgendwelcher Aussagen hier im Forum.

    Aber Du könntest vielleicht mal einen Spendenaufruf starten. Das ist jetzt irgendwie der Zeitpunkt, den Leuten zumindest mal eine virtuelle Kiste Bier hinzustellen und der Punkt an dem jedem klar sein sollte, dass es gutes Opensource nicht umsonst gibt. weil es sonst keinen Content in den Kühlschrank der Entwickler bringt.

    Edit: Boh, so schnell kann ich gar nicht tippen
    Geändert von dackelchen (13.02.2014 um 13:42 Uhr)
    Grüße Edgar
    Dackelalarm

  9. #9
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich werde sicher in absehbarer Zeit mal noch einen etwas auffälligeren Hinweis im Forum unterbringen, damit die Leute wissen wer hinter den Kulissen primär an den Lösungen gewerkelt hat. Das mach ich aber halt erst dann, wenn ein klein wenig Ruhe eingekehrt ist und ich eine echte Liste zusammengestellt habe (kann das selbst momentan nur via Github nachvollziehen und weiß nicht, ob das wirklich alle Leute sind die aktiv Hilfe geleistet haben). Außerdem muss ich dem einen oder anderen Dev noch den Link zu seiner Amazon-Wunschliste aus der Nase ziehen, weil das nicht jeder in seinem Profil stehen hat

    So kann dann jeder Nutzer sehen, wer mitgemacht hat und kann selbst entscheiden, ob er sich auf diesem Weg bedanken will.

  10. #10
    Contao-Nutzer Avatar von Goody
    Registriert seit
    01.06.2010.
    Ort
    Frankfurt am Main
    Beiträge
    100

    Beitrag Update 2.11.16

    Hallo,

    ich hatte heute morgen nur die geänderten Dateien für 2.11.15 auf die bereits aktualisierte Version 2.11.14 ausgetauscht. Jetzt habe ich eben manuell wieder komplett 2.11.16 synchronisiert. Aber der Check und das Backend sagt nach wie vor es sei noch 2.11.15. Bin etwas verwirrt? Contao-Check Version 7.13.

    Gruß Goody

    Aber ein großes Lob und Dankeschön an alle Beteiligten, die so schnell reagierten um das Problem zu lösen.

  11. #11
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Goody Beitrag anzeigen
    ich hatte heute morgen nur die geänderten Dateien für 2.11.15 auf die bereits aktualisierte Version 2.11.14 ausgetauscht. Jetzt habe ich eben manuell wieder komplett 2.11.16 synchronisiert. Aber der Check und das Backend sagt nach wie vor es sei noch 2.11.15. Bin etwas verwirrt? Contao-Check Version 7.13.
    Falls der Fehler noch besteht, dann sei bitte so nett und eröffne dafür ein eigenes Thema im Updates-Forum.
    Beschreibe darin möglichst genau was du getan hast. So können dir die anderen Nutzer dann spezifisch bei deinem Problem helfen

  12. #12
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.293
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Und wie schon ganz richtig Vermutet gibts auch wieder was feines von der CCA:

    http://c-c-a.org/aktuelles/sicherheitshinweise

    Aktualisierte Patch-Files für ältere Contao Verisonen.

    Und für die Leute, die immer gerne etwas genauer wissen was da so Sache ist, wurde auch noch ein klein wenig mehr geschrieben zu der ganzen Situation ;-)

    Damit das ganze auch komplett ist hier unsere News dazu -> http://c-c-a.org/aktuelles/news/deta...ontao-releases

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  13. #13
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von MacKP Beitrag anzeigen
    Und wie schon ganz richtig Vermutet gibts auch wieder was feines von der CCA
    Danke. Ich habe den Link oben eingefügt.

  14. #14
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von MacKP Beitrag anzeigen
    Und wie schon ganz richtig Vermutet gibts auch wieder was feines von der CCA:

    http://c-c-a.org/aktuelles/sicherheitshinweise

    Aktualisierte Patch-Files für ältere Contao Verisonen.

    Und für die Leute, die immer gerne etwas genauer wissen was da so Sache ist, wurde auch noch ein klein wenig mehr geschrieben zu der ganzen Situation ;-)

    Damit das ganze auch komplett ist hier unsere News dazu -> http://c-c-a.org/aktuelles/news/deta...ontao-releases

    Viele Grüße
    Haben die Patchsets eigentlich auch schon die neuesten Updates drin, die in 2.11.15 und 3.2.7 vorhanden sind? Der letzte Newsbeitrag suggeriert das, aber aus der Patchliste geht das noch nicht hervor.

  15. #15
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.293
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Äh.. ich weiß jetzt nicht ob ich dich richtig versteh.. aber in den Patchfiles sind die aktuellen Änderungen für das Schließen der Sicherheitslücke drinn.

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  16. #16
    Contao-Urgestein Avatar von tril
    Registriert seit
    07.01.2010.
    Ort
    Bad Marienberg
    Beiträge
    2.939
    User beschenken
    Wunschliste

    Standard

    @spooky ja, dazu habe ich einen Kommentar geschrieben.
    http://c-c-a.org/aktuelles/sicherheitshinweise#c102

  17. #17
    Contao-Urgestein Avatar von tril
    Registriert seit
    07.01.2010.
    Ort
    Bad Marienberg
    Beiträge
    2.939
    User beschenken
    Wunschliste

    Standard Anlaufstelle für potentielle Sicherheitsprobleme

    Wenn Ihr auf ein potentielles Sicherheitsproblem stoßt, könnt Ihr euch zukünftig an unsere neue Security Mailingliste wenden.
    Alle Details dazu, findet Ihr in unserem Newsbeitrag:
    http://c-c-a.org/aktuelles/news/deta...y-mailingliste

    @Nina ist das ggf. eine separate Ankündigung wert?

  18. #18
    Contao-Nutzer Avatar von Compadre
    Registriert seit
    11.09.2009.
    Ort
    Schwarzwald
    Beiträge
    55

    Daumen hoch Dank für Eure großartige Arbeit!

    Zitat Zitat von MacKP Beitrag anzeigen
    Und wie schon ganz richtig Vermutet gibts auch wieder was feines von der CCA:

    http://c-c-a.org/aktuelles/sicherheitshinweise

    Aktualisierte Patch-Files für ältere Contao Verisonen.

    Und für die Leute, die immer gerne etwas genauer wissen was da so Sache ist, wurde auch noch ein klein wenig mehr geschrieben zu der ganzen Situation ;-)

    Damit das ganze auch komplett ist hier unsere News dazu -> http://c-c-a.org/aktuelles/news/deta...ontao-releases

    Viele Grüße
    Das muss ich jetzt mal loswerden:
    Nicht auszudenken, wenn man alle Installationen auf den akutellen Major Release Stand hätte updaten müssen!
    Deshalb nochmal ausdrücklich DANKE an den unvermüdlichen Einsatz der CCA für die Bereitstellung der Patchfiles für die Minor Zweige.
    http://c-c-a.org/aktuelles/sicherheitshinweise
    Glückwunsch übrigens zu Deiner offiziellen Mitgliedschaft, die die CCA gestern kommuniziert hat und generell Bewunderung für den idealistischen Ansatz, den Ihr verfolgt.

    Gruß aus dem Schwarzwald,

  19. #19
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.198
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von tril Beitrag anzeigen
    @spooky ja, dazu habe ich einen Kommentar geschrieben.
    http://c-c-a.org/aktuelles/sicherheitshinweise#c102
    Das heisst also im Klartext:
    a) Die Sicherheitspatches sind alle drin -> Die Sicherheitslücke wird damit komplett geschlossen
    b) Die sonstigen Änderungen zwischen den Versionen sind NICHT drin!?!

    Nach einspielen des Patchs in eine Contao Version 3.2.4 Installation hat man immer noch eine Version 3.2.4, allerdings mit komplett gepatchter Sicherheitslücke. Aber keine Version 3.2.7. Wer die 3.2.7 mit allen Änderungen haben will, der muss sie eben installieren / updaten

    Das wird sich auch in der angezeigten Versionsnummer widerspiegeln, laut constants.php in der Patchdatei sollte die dann so aussehen:
    "3.2.4-cca-soa-hotfix2"

  20. #20
    Contao-Urgestein Avatar von tril
    Registriert seit
    07.01.2010.
    Ort
    Bad Marienberg
    Beiträge
    2.939
    User beschenken
    Wunschliste

    Standard

    @tab ja genau

  21. #21
    Gesperrt
    Registriert seit
    14.10.2012.
    Ort
    München
    Beiträge
    63

    Standard Anfängerfrage wg. Versionen

    Hallo (und sorry, wenn die Frage dumm sein sollte),

    wegen der Updateempfehlungen komme ich bei den Versionen etwas durcheinander:

    Auf All-Inkl habe ich eine Installation 2.11.3. Ist es richtig, dass ich diese nicht updaten muss, weil sie versionsmäßig über der 2.11.15 liegt? Während meine andere Contao-Version 3.1.4. auf jeden Fall upgedatet werden, stimmts?

    Man unterscheidet also zwischen v. 2.x und 3.x – und alles was über 2.11.16 bzw. 3.2.7 liegt, muss jeweils nicht upgedatet werden … habe ich das richtig verstanden?

    Danke im Voraus für Eure Hilfe.
    Alex

  22. #22
    Contao-Urgestein
    Registriert seit
    07.07.2009.
    Beiträge
    4.107

    Standard

    Es gibt keine Version die über der 2.11.16 und 3.2.7 liegt und eine 2.11.3 schon mal gar nicht. Dementsprechend musst du deine Installation aktualisieren.

  23. #23
    Contao-Urgestein Avatar von fiedsch
    Registriert seit
    09.07.2009.
    Ort
    München
    Beiträge
    2.972

    Standard Schwere Sicherheitslücke in Contao gefunden

    @Alexandra:

    2.11.3 ist älter als 2.11.16 -- 3 ist kleiner als 16. Du hast das wohl mit einer (nicht existenten) 3.11.1.6 verwechselt?
    Contao-Community-Treff Bayern: http://www.contao-bayern.de

  24. #24
    Contao-Urgestein Avatar von folkfreund
    Registriert seit
    09.04.2010.
    Beiträge
    1.928

    Standard

    Wer hätte geahnt, dass es von der Version 2.11 mal mehr als 10 Revisionen geben würde?

    Wenn die Versionen alphabetisch geordnet werden, dann liegt 2.11.3 hinter 2.11.16 - aber ich denke das ist jetzt geklärt

    folkfreund

  25. #25
    Gesperrt
    Registriert seit
    14.10.2012.
    Ort
    München
    Beiträge
    63

    Standard

    Zitat Zitat von fiedsch Beitrag anzeigen
    @Alexandra:

    2.11.3 ist älter als 2.11.16 -- 3 ist kleiner als 16. Du hast das wohl mit einer (nicht existenten) 3.11.1.6 verwechselt?
    ja, ich dachte eins-sechs ist kleiner als drei(-null)

    Das war unlogisch, sorry. Danke fiedsch für den Hinweis :-)
    Geändert von Alexandra (15.02.2014 um 22:08 Uhr)

  26. #26
    Contao-Nutzer
    Registriert seit
    07.03.2011.
    Beiträge
    2

    Standard Noch eine (Anfänger)Frage zu den 2.11.x Versionen

    Ich danke zunächst einmal allen Beteiligten für die viele und tolle Arbeit der letzten Tage!

    Ich habe mehrere 2.11.er Installationen (2.11.2, 2.11.6 und 2.11.9) - bei c-c-a.org gibt es dankenswerter Weise die Sicherheitsupdates für ältere Versionen, die ich für meine 2.9.er und 2.10.er Installationen auch nutze. Bei dem Update 2.11.13 stellt sich mir die Frage, warum das angeboten wird? Denn eigentlich kann ich meiner 2.11.er Versionen doch auch gleich auf 2.11.16 updaten? Hab ich da jetzt irgend etwas nicht bedacht?

  27. #27
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.293
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo elbec,
    du solltest eigentlich ohne Probleme auf eine 2.11.16 gehen können. Empfehlen wir in dem Artikel ja auch ;-)
    Die Patch-Files für ältere Versionen sind eben nur für den 'Notfall' das man z.B. Erweiterungen installiert hat, die den Sprung dann eben doch nicht so einfach mit machen.. oder das man erst mal schnell Handeln will und dann später in Ruhe die ganzen Updates macht und dann auch alles gut durchtestet etc.

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  28. #28
    Contao-Urgestein Avatar von tril
    Registriert seit
    07.01.2010.
    Ort
    Bad Marienberg
    Beiträge
    2.939
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von elbec Beitrag anzeigen
    ... Bei dem Update 2.11.13 stellt sich mir die Frage, warum das angeboten wird? Denn eigentlich kann ich meiner 2.11.er Versionen doch auch gleich auf 2.11.16 updaten? ...
    Die 2.11.16 und 3.2.7 enthalten neben den Sicherheitspatches, auch andere kleine Korrekturen - bspw. an Sprachdateien - die unserer Meinung nach gar nichts in einem Sicherheitspatch zu suchen haben.
    Unsere Versionen der 2.11 und 3.2 beinhalten ausschließlich die Sicherheitspatches und sonst nichts anderes.
    Man könnte auch sagen, wir haben es schlichtweg der Vollständigkeit hinzugefügt, aber du bist genau so sicher, wenn du unsere gepatchte 2.11.13-cca-soa-hotfix2 oder die offizielle 2.11.16 nimmst.

  29. #29
    Contao-Urgestein Avatar von KlausGrenoble
    Registriert seit
    27.01.2013.
    Ort
    Grenoble
    Beiträge
    2.362

    Standard

    https://contao.org/de/changelog/versions/2.11.html
    Version 2.11.16 (2014-02-13)

    Fixed
    Fix another weakness in the Input class and further harden the deserialize()function. Thanks to Martin Auswöger for his input.
    Könnte man da auch wie bei den anderen Versionen, die github-Nummer als Link angeben ? Danke
    Geändert von KlausGrenoble (17.02.2014 um 20:19 Uhr) Grund: url

  30. #30
    Contao-Urgestein
    Registriert seit
    10.07.2010.
    Beiträge
    4.403
    User beschenken
    Wunschliste

    Standard

    Selber suchen:

    https://github.com/contao/core/commi...16fc6cdf701f6a

    Show diff stats zeigt die geänderten Daten.

    Dass was Du suchst, ist vermutlich ein Issue der für diese Änderung wohl nicht über github gemacht wurde. Resp. ist wohl eher eine Fortsetzung von #6724.
    Geändert von ciaobello (17.02.2014 um 21:34 Uhr)

  31. #31
    Contao-Urgestein Avatar von KlausGrenoble
    Registriert seit
    27.01.2013.
    Ort
    Grenoble
    Beiträge
    2.362

    Standard

    Zitat Zitat von ciaobello Beitrag anzeigen
    ...Issue, der für diese Änderung wohl nicht über github gemacht wurde. Resp. ist wohl eher eine Fortsetzung von #6724.
    Stimmt, das sieht so aus. Dann könnte man da wenigstens "#6724" als Link angeben.

  32. #32
    Contao-Nutzer
    Registriert seit
    21.07.2009.
    Beiträge
    224

    Standard

    kurze Frage, weil ich nichts dazu gefunden habe: muss ich jetzt bei Contao 3 z.b alles zwischenversionen Updaten oder langt es das update direkt von version 3.2.4 auf 3.2.7 zu machen ?

    und bei der 2er genauso z.b 2.10 auf 2.11.16 ?!

    Danke schonmal !

  33. #33
    Contao-Urgestein Avatar von Toflar
    Registriert seit
    15.06.2009.
    Beiträge
    4.468
    Partner-ID
    8667
    User beschenken
    Wunschliste

    Standard

    Das reicht aus.
    Contao Core-Entwickler @terminal42 gmbh
    Wir sind Contao Premium-Partner!
    Für Individuallösungen kannst du uns gerne kontaktieren.
    PS: Heute schon getrakked?

  34. #34
    Contao-Urgestein
    Registriert seit
    07.07.2009.
    Beiträge
    4.107

    Standard

    Zitat Zitat von sfx Beitrag anzeigen
    kurze Frage, weil ich nichts dazu gefunden habe: muss ich jetzt bei Contao 3 z.b alles zwischenversionen Updaten oder langt es das update direkt von version 3.2.4 auf 3.2.7 zu machen ?

    und bei der 2er genauso z.b 2.10 auf 2.11.16 ?!

    Danke schonmal !
    Bei der 2.10 kannst du ohne Probleme auf die 2.10.5 aktualisieren. Dafür hat die CCA ja die Patchfiles bereitgestellt:

    http://c-c-a.org/aktuelles/sicherheitshinweise

  35. #35
    Contao-Nutzer
    Registriert seit
    23.08.2011.
    Beiträge
    176

    Trauriges Gesicht Systemnachrichten => wenig hilfreich

    Vor dem Hintergrund der aktuellen Sicherheitsprobleme und den damit verbundenen Patches möchte ich doch mal loswerden,
    dass es wenig zielführend -wenn nicht sogar grob fahrlässig- ist, im Backend einer 2.11er Version anzuzeigen, dass die Version 3.2.7 verfügbar ist.
    Hier sollte immer die aktuellste Version des jeweiligen Zweiges geannt werden, nur so hat man eine Chance mitzubekommen, wann es sicherheitsrelevante Updates gibt.
    Nicht jeder schaut täglich ins Forum...

    PS. An dieser Stelle ein dickes Dankeschön an Glen Langer, mit dem von ihm zur Verfügung gestellten Deltadatei konnte ich ruckzuck auf 2.11.16 updaten...

  36. #36
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.293
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo rost,
    das steht nicht nur im Forum, das steht auch auf der Contao Seite. Über FB / Twitter / G+ sollte man sowas auch mitbekommen.
    Es ist zumindest die Aufgabe eines Admins von so einer Seite sich über so etwas auf dem laufenden zu halten. Dazu braucht man nicht ins Contao Backend.
    Ist also eigentlich nicht so ärgerlich, wie du das jetzt hin stellst. Wäre allerdings schon nen Ticket wert im Ticket System finde ich. Kannst also gerne eins machen.

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  37. #37
    Contao-Urgestein
    Registriert seit
    10.07.2010.
    Beiträge
    4.403
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von rost Beitrag anzeigen
    Vor dem Hintergrund der aktuellen Sicherheitsprobleme und den damit verbundenen Patches möchte ich doch mal loswerden,
    dass es wenig zielführend -wenn nicht sogar grob fahrlässig- ist, im Backend einer 2.11er Version anzuzeigen, dass die Version 3.2.7 verfügbar ist.
    https://contao.org/share/news-de.xml

    Du musst nicht immer im Forum sein ... ( wobei es auch gut ist wenn Du Dein wissen teilst ) Neben dem von MackKP erwähnten Kanälen gibt es auch RSS Feeds welche Du abonnieren kannst. Dann kriegst dass alles ohne Dich im Backend einzuloggen mit.

    p.s.
    Wenn die Meldung im BE angepasst wird, reklamieren dann die anderen welche diese Infos gerne sehen, resp. auf dem Laufenden sein wollen betreffs neusten Contao Versionen.
    Geändert von ciaobello (20.02.2014 um 14:44 Uhr)

  38. #38
    Contao-Nutzer
    Registriert seit
    23.08.2011.
    Beiträge
    176

    Standard

    Zitat Zitat von ciaobello Beitrag anzeigen
    https://contao.org/share/news-de.xml...Feeds welche Du abonnieren kannst....
    ...reklamieren dann die anderen welche diese Infos gerne sehen, resp. auf dem Laufenden sein wollen betreffs neusten Contao Versionen.
    Wäre es nicht umgekehrt logischer?
    Im Backend sehe ich Sciherheitsrelevante Updates - da schaue ich als einfacher Siteadmin viel eher hin.
    Wenn ich mich für eine neue Version interessiere, dann kann ich die ganzen aufgezählen Wege nutzen.
    Ich könnte mir vorstellen, dass es viele Siteadmins gibt, die -wie ich- deutlich öfter im Contao-Backend sind.


    Für mich ist das verkehrte Welt. Das ist, als würde man für sein Auto mit der Post immer nur Werbung für neue Modelle bekommen.
    Aber über den Rückruf, weil an den Bremsen was defekt sein kann, werde ich nur informiert wenn ich den Händler/ die Werkstatt besuche.

  39. #39
    Contao-Urgestein Avatar von tril
    Registriert seit
    07.01.2010.
    Ort
    Bad Marienberg
    Beiträge
    2.939
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von rost Beitrag anzeigen
    Das ist, als würde man für sein Auto mit der Post immer nur Werbung für neue Modelle bekommen.
    Aber über den Rückruf, weil an den Bremsen was defekt sein kann, werde ich nur informiert wenn ich den Händler/ die Werkstatt besuche.
    Aber ist es nicht genau so? *scnr*

  40. #40
    Contao-Fan
    Registriert seit
    02.09.2009.
    Beiträge
    307

    Frage

    Hallo,

    was bedeutet die Sicherheitslücke eigentlich für eigene Erweiterungen. Bin mir da unsicher wo ich evtl. eingreifen muss. Gibt es da irgendwo Dokumente?

    Habe in diesem Beitrag das hier natürlich nicht überlesen:
    Während durch den 1. Bugfix die deserialize() weiterhin serialisierte Objekte erlaubte, wurde diese Unterstützung jetzt zugunsten der Sicherheit vollständig entfernt. Das bedeutet, dass serialisierte Objekte zukünftig nicht mehr mit der deserialize() Funktion deserialisiert werden können. Das gilt auch für einfache stdClass Objekte! In 99% der Fälle, sollte dies keine Einschränkung sein. Wer allerdings gezielt serialisierte Objekte durch die Gegend reicht, muss auf die PHP native Funktion unserialize() ausweichen.
    Ich hab die Funktion hier und da zum Auslesen von Tabellen und ich glaube auch Überschriften im Einsatz. Muss ich dies durch die unserialize() Funktion ersetzen?

    1000 Dank,
    juju

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •